薩班斯法案內(nèi)部控制重點(diǎn)內(nèi)容及美國(guó)本土上市公司執(zhí)行情況

1、中國(guó)石油化工股份有限公司中國(guó)石油化工股份有限公司薩班斯法案關(guān)于內(nèi)部控制重點(diǎn)內(nèi)容薩班斯法案關(guān)于內(nèi)部控制重點(diǎn)內(nèi)容美國(guó)本土上市公司執(zhí)行情況美國(guó)本土上市公司執(zhí)行情況 20062006年年7 7月月2525日日0主要內(nèi)容：1. 內(nèi)部控制 - 國(guó)內(nèi)外資本市場(chǎng)監(jiān)管要求和股份公司管理要求 2. 美國(guó)本土公司首年執(zhí)行薩班斯法案404條款3. 薩班斯法案404條款及相關(guān)條例對(duì)管理層自我評(píng)價(jià)的要求4. 管理層自我評(píng)價(jià)具體問題討論5. 中石化存在的潛在財(cái)務(wù)報(bào)告內(nèi)部控制缺陷6. 畢馬威對(duì)中石化自我評(píng)價(jià)所能提供的幫助及建議11.1 內(nèi)部控制 - 國(guó)內(nèi)外資本市場(chǎng)監(jiān)管要求21.2 內(nèi)部控制 - 股份公司管理要求除了為滿足國(guó)內(nèi)

2、外資本市場(chǎng)監(jiān)管要求外，股份公司建立內(nèi)控制度是為了提高公司管理水平，具體表現(xiàn)為：1.建立現(xiàn)代企業(yè)制度，完善法人治理結(jié)構(gòu)，實(shí)現(xiàn)經(jīng)營(yíng)機(jī)制的轉(zhuǎn)換，加強(qiáng)企業(yè)管理，提高企業(yè)經(jīng)營(yíng)業(yè)績(jī)，改善企業(yè)財(cái)務(wù)狀況2.積極參與競(jìng)爭(zhēng)、努力降低風(fēng)險(xiǎn)，以提高經(jīng)營(yíng)管理效率和效果3.建立統(tǒng)一規(guī)范的內(nèi)部控制制度，使股份公司各項(xiàng)規(guī)章制度成為系統(tǒng)性、可操作性和包容性很強(qiáng)的內(nèi)部管理制度，更為有效地體現(xiàn)股份公司管理理念32.1 美國(guó)本土公司首年執(zhí)行薩班斯法案 帶來的主要好處1. 董事會(huì)、審計(jì)委員會(huì)和管理層對(duì)內(nèi)部控制有更多參與2. 建立起監(jiān)控和評(píng)價(jià)控制機(jī)制3. 針對(duì)年結(jié)制定的結(jié)構(gòu)和流程4. 實(shí)施反詐騙控制5. 對(duì)通過信息技術(shù)控制風(fēng)險(xiǎn)有警覺性6

3、. 有更好的流程 / 控制文件用于培訓(xùn)和管理教育7. 完善的風(fēng)險(xiǎn)和控制定義8. 管理層和負(fù)責(zé)操作的人員更好地理解他們?cè)诳刂品矫娴呢?zé)任9. 更好的審計(jì)追蹤10.重新落實(shí)基本的控制措施，如分工、授權(quán)流程、會(huì)計(jì)賬目調(diào)節(jié)資料來源：內(nèi)部審計(jì)師協(xié)會(huì) 2005 年 7 月調(diào)查 State of Regulatory Compliance Summit, Washington DC (監(jiān)管合規(guī)高峰會(huì)的州 華盛頓市)42.2 首年執(zhí)行薩班斯法案 出現(xiàn)負(fù)面意見的主要原因1. 所得稅問題 (Income tax matters)2. 收入確認(rèn) (Revenue recognition)3. 財(cái)務(wù)人員配置/專業(yè)知識(shí)

4、(Financial staffing/expertise)4. 租賃會(huì)計(jì)處理方法 (Lease accounting)5. 公認(rèn)會(huì)計(jì)原則應(yīng)用 (Application of GAAP)6. 財(cái)務(wù)年度結(jié)算流程 (Financial Close process)7. 監(jiān)控 (Monitoring controls)8. 職責(zé)分工 (Segregation of Duties)9. 衍生工具 (Derivatives)10.子公司/偏遠(yuǎn)地區(qū) (Subsidiaries/Remote locations) 1. 畢馬威第 404 條機(jī)構(gòu)調(diào)查 2005 年 5 月53. 薩班斯法案404條款及相關(guān)條例

5、對(duì)管理層自我評(píng)價(jià)的要求3.1 管理層的責(zé)任3.2 管理層自我評(píng)價(jià)流程3.3 管理層自我評(píng)價(jià)應(yīng)滿足的基本要求3.4 管理層報(bào)告要求3.5 PCAOB有關(guān)內(nèi)控的詳細(xì)指引文件3.6 SEC及PCAOB就執(zhí)行薩班斯404條款的最新動(dòng)態(tài)注：PCAOB 是指美國(guó)上市公司會(huì)計(jì)監(jiān)督委員會(huì)63.1 管理層的責(zé)任承擔(dān)公司財(cái)務(wù)報(bào)告內(nèi)部控制有效性的責(zé)任；采用適當(dāng)?shù)目刂茦?biāo)準(zhǔn)(比如COSO標(biāo)準(zhǔn))，評(píng)價(jià)公司財(cái)務(wù)報(bào)告內(nèi)部控制的有效性（是否存在實(shí)際性漏洞）；以充分的證據(jù)(包括文檔文件，參看4.7)為評(píng)價(jià)結(jié)果提供有力支持；針對(duì)公司最近財(cái)年財(cái)務(wù)報(bào)告內(nèi)部控制的有效性提交書面評(píng)價(jià)。 注：COSO 是指美國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)出版的內(nèi)部

6、控制整體框架73.2 管理層自我評(píng)價(jià)流程404404條款：管理層對(duì)與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制的報(bào)告條款：管理層對(duì)與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制的報(bào)告內(nèi)部控制設(shè)計(jì)的有效性內(nèi)部控制設(shè)計(jì)的有效性內(nèi)部控制運(yùn)行的有效性內(nèi)部控制運(yùn)行的有效性控制點(diǎn)的設(shè)計(jì)和運(yùn)行情況控制點(diǎn)的設(shè)計(jì)和運(yùn)行情況？評(píng)估什么評(píng)估什么補(bǔ)充修改補(bǔ)充修改實(shí)質(zhì)性漏實(shí)質(zhì)性漏洞洞控制點(diǎn)的載體是什么？報(bào)告評(píng)估：評(píng)估：- -自我評(píng)估自我評(píng)估- -獨(dú)立評(píng)估獨(dú)立評(píng)估評(píng)估：評(píng)估：- -自我評(píng)估自我評(píng)估- -獨(dú)立評(píng)估獨(dú)立評(píng)估404404條款：管理層對(duì)與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制的條款：管理層對(duì)與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制的報(bào)告報(bào)告內(nèi)部控制設(shè)計(jì)的有效性內(nèi)部控制設(shè)計(jì)的有效性內(nèi)部控

7、制運(yùn)行的有效性內(nèi)部控制運(yùn)行的有效性內(nèi)部控制內(nèi)部控制設(shè)計(jì)設(shè)計(jì)的有效性的有效性內(nèi)部控制內(nèi)部控制執(zhí)行執(zhí)行的有效性的有效性控制點(diǎn)的控制點(diǎn)的設(shè)計(jì)設(shè)計(jì)和和執(zhí)行執(zhí)行情況情況內(nèi)控手冊(cè)內(nèi)控手冊(cè)？評(píng)估什么評(píng)估什么？評(píng)估什么評(píng)估什么補(bǔ)充修改補(bǔ)充修改補(bǔ)充修改補(bǔ)充實(shí)質(zhì)性漏實(shí)質(zhì)性漏洞洞控制點(diǎn)的載體是什么？控制點(diǎn)的載體是什么？報(bào)告報(bào)告評(píng)估：評(píng)估：- -自我評(píng)估自我評(píng)估- -獨(dú)立評(píng)估獨(dú)立評(píng)估評(píng)估：評(píng)估：- -自我評(píng)估自我評(píng)估- -獨(dú)立評(píng)估獨(dú)立評(píng)估評(píng)估：評(píng)估：- -自我評(píng)估自我評(píng)估- -獨(dú)立評(píng)估獨(dú)立評(píng)估評(píng)估：評(píng)估：- -自我評(píng)估自我評(píng)估- -獨(dú)立評(píng)估獨(dú)立評(píng)估83.3 管理層自我評(píng)價(jià)應(yīng)滿足的基本要求PCAOB規(guī)定審計(jì)師應(yīng)當(dāng)判斷管

8、理層的評(píng)價(jià)過程是否包含了下列內(nèi)容：確認(rèn)需要測(cè)試的控制措施，包括對(duì)所有重要會(huì)計(jì)報(bào)表科目及信息披露的相關(guān)會(huì)計(jì)認(rèn)定所采取的控制措施；評(píng)價(jià)由于控制措施失效而導(dǎo)致會(huì)計(jì)報(bào)表錯(cuò)記的可能性、此類錯(cuò)記的嚴(yán)重性，以及其他控制措施實(shí)現(xiàn)相同控制目標(biāo)的程度；確認(rèn)應(yīng)納入評(píng)價(jià)范圍的具體公司經(jīng)營(yíng)場(chǎng)所或業(yè)務(wù)單元(針對(duì)擁有多個(gè)辦公地點(diǎn)或業(yè)務(wù)單元的公司)；對(duì)所有會(huì)計(jì)報(bào)表重要科目及信息披露的相關(guān)會(huì)計(jì)認(rèn)定所實(shí)施的控制措施在設(shè)計(jì)及運(yùn)行方面的有效性進(jìn)行評(píng)價(jià)；確認(rèn)在財(cái)務(wù)報(bào)告內(nèi)部控制系統(tǒng)中所發(fā)現(xiàn)的不足是否會(huì)構(gòu)成重大缺陷或?qū)嵸|(zhì)性漏洞；就主要發(fā)現(xiàn)與有關(guān)方面進(jìn)行溝通；及評(píng)價(jià)主要發(fā)現(xiàn)是否與評(píng)價(jià)結(jié)果相一致。自我評(píng)價(jià)確認(rèn)評(píng)價(jià)對(duì)象確認(rèn)評(píng)價(jià)對(duì)象評(píng)價(jià)控制失效風(fēng)

9、險(xiǎn)評(píng)價(jià)控制失效風(fēng)險(xiǎn)確認(rèn)評(píng)價(jià)范圍確認(rèn)評(píng)價(jià)范圍評(píng)價(jià)控制有效性評(píng)價(jià)控制有效性評(píng)價(jià)缺陷嚴(yán)重性評(píng)價(jià)缺陷嚴(yán)重性溝通溝通形成結(jié)論形成結(jié)論93.4 管理層報(bào)告要求管理層須陳述為公司設(shè)立和維持足夠的財(cái)務(wù)報(bào)告內(nèi)部控制系統(tǒng)的責(zé)任；管理層須陳述為評(píng)價(jià)公司財(cái)務(wù)報(bào)告內(nèi)部控制系統(tǒng)的有效性而采用的評(píng)價(jià)架構(gòu);管理層在公司最近的財(cái)政年度做出的對(duì)公司與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制有效性的評(píng)價(jià), 包括一份公司與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制是否有效的聲明。聲明必須披露管理層發(fā)現(xiàn)的任何一項(xiàng)公司與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制的實(shí)質(zhì)性漏洞。在公司與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制存在某一或更多實(shí)質(zhì)性漏洞時(shí)，管理層不得做出公司與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制有效的聲明；103.

10、5 PCAOB有關(guān)內(nèi)控的詳細(xì)指引文件113.6 SEC及PCAOB就執(zhí)行薩班斯404條款的最新動(dòng)態(tài)2006年5月10日，SEC和PCAOB召開了圓桌會(huì)議，就關(guān)于如何改進(jìn)薩班斯404條款的實(shí)施進(jìn)行了討論。5月17日，SEC發(fā)表了以下聲明：SEC將就管理層如何按照自上而下、風(fēng)險(xiǎn)導(dǎo)向的方法完成對(duì)財(cái)務(wù)報(bào)告內(nèi)部控制的自我評(píng)價(jià)出臺(tái)具體指南。SEC將考慮是否為小型上市公司應(yīng)用COSO框架出臺(tái)另外的指南。SEC將與PCAOB緊密合作，修訂PCAOB審計(jì)準(zhǔn)則第2號(hào)。中石化適用執(zhí)行薩班斯404條款最后期限仍為20062006年年7 7月月1515日日或以后結(jié)束的財(cái)政年度。124. 管理層自我評(píng)價(jià)具體問題討論4.1

11、 公司層面控制(Company Level Controls) 的確定4.2 信息系統(tǒng)一般性控制(IT General Controls)的確定4.3 重要會(huì)計(jì)科目/披露(Significant Accounts/Disclosures)的確定4.4 重要/關(guān)鍵控制點(diǎn)(Key Control Points)的確定4.5 檢查時(shí)間(Inspection Timing)的確定4.6 測(cè)試樣本量(Testing Sample Size)的確定4.7 自我評(píng)價(jià)記錄(Documentation)的要求4.8 應(yīng)當(dāng)包括在評(píng)估過程中的經(jīng)營(yíng)場(chǎng)所和業(yè)務(wù)單位(Scope)134.1 公司層面控制(Company

12、Level Controls)的確定公司層面的控制通常對(duì)控制活動(dòng)在流程、交易過程中有普遍深入的影響。PCAOB規(guī)定的公司層面的控制包含7個(gè)方面的內(nèi)容，其中有4點(diǎn)與COSO框架相一致。COSO框架是識(shí)別和評(píng)價(jià)公司層面的控制重要的參照。144.1 公司層面控制的確定（續(xù)）COSO框架概述(在內(nèi)控檢查辦法第八條和第十九條體現(xiàn)）：控制環(huán)境：提供企業(yè)紀(jì)律與架構(gòu)，塑造企業(yè)文化和正確的價(jià)值觀，并影響企業(yè)員工的控制意識(shí)和工作能力是所有其它內(nèi)部控制組成要素的基礎(chǔ)。控制環(huán)境的因素具體包括：正直守德的價(jià)值取向、對(duì)員工勝任能力的關(guān)注、董事會(huì)或?qū)徲?jì)委員會(huì)、管理哲學(xué)和經(jīng)營(yíng)風(fēng)格、公司組織結(jié)構(gòu)、職權(quán)和職責(zé)的分配、人力資源政策

13、及實(shí)務(wù)。 風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)評(píng)估就是分析和識(shí)別威脅所定目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)。經(jīng)濟(jì)、法律及管理的環(huán)境等內(nèi)外部因素不斷變化，企業(yè)主動(dòng)地發(fā)現(xiàn)和處理由于情況變化所帶來的風(fēng)險(xiǎn)是很有必要的。 控制環(huán)境風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通監(jiān)控154.1 公司層面控制的確定（續(xù)）控制活動(dòng)：是確保管理層的指令得以執(zhí)行的政策及程序，是管理層識(shí)別和評(píng)估風(fēng)險(xiǎn)后，對(duì)控制這些風(fēng)險(xiǎn)所實(shí)行的針對(duì)性措施?？刂苹顒?dòng)包括授權(quán)審批、核對(duì)、關(guān)鍵績(jī)效指標(biāo)、資產(chǎn)安全控制及職責(zé)分離等各種類型，又可以分為人工控制和信息系統(tǒng)控制兩大類。信息與溝通：內(nèi)部控制的全過程都需要高質(zhì)量的信息以及順暢的溝通。高質(zhì)量信息具有內(nèi)容相關(guān)、正確、提供及時(shí)以及便于獲取等特征。企業(yè)不僅應(yīng)

14、當(dāng)致力于提升內(nèi)部溝通的有效性，還應(yīng)關(guān)注與企業(yè)外部的溝通問題。監(jiān)控：是由適當(dāng)?shù)娜藛T，在適當(dāng)及時(shí)的基礎(chǔ)下，評(píng)價(jià)控制的設(shè)計(jì)和運(yùn)作情況的過程。這一活動(dòng)由持續(xù)監(jiān)督、個(gè)別評(píng)價(jià)所組成，其可確保企業(yè)內(nèi)部控制能持續(xù)有效的運(yùn)作。164.1 公司層面控制的確定（續(xù)）PCAOBPCAOB規(guī)定的公司層面的控制措施包括但不限于：規(guī)定的公司層面的控制措施包括但不限于：1.控制環(huán)境內(nèi)的控制措施，包括領(lǐng)導(dǎo)層的定調(diào)、權(quán)責(zé)分工、貫徹一致的政策和程序和全公司的措施，例如專業(yè)操守和防止詐騙這類適用于所有地區(qū)和業(yè)務(wù)單位的措施2.管理層的3.集中的處理和控制措施 ，包括共用服務(wù)環(huán)境4.監(jiān)察經(jīng)營(yíng)業(yè)績(jī)的控制措施，包括內(nèi)部審計(jì)部門、審計(jì)委員會(huì)和

15、自我評(píng)價(jià)計(jì)劃的工作5.監(jiān)察其他控制措施的控制措施6.期末財(cái)務(wù)報(bào)告程序7.經(jīng)董事會(huì)審批處理重大業(yè)務(wù)控制和風(fēng)險(xiǎn)管理的政策174.2 信息系統(tǒng)的一般性控制(IT General Controls)的確定信息系統(tǒng)的一般性控制包括以下四方面內(nèi)容：程序和數(shù)據(jù)的進(jìn)入程序的修改程序的開發(fā)計(jì)算機(jī)的操作184.2 信息系統(tǒng)的一般性控制的確定（續(xù)）程序和數(shù)據(jù)的進(jìn)入 (Access to programs and data)實(shí)施有效的安全性措施。對(duì)信息資源的接觸應(yīng)做實(shí)物與虛擬的限制，即防止未經(jīng)授權(quán)的人接近信息資源；防止未經(jīng)授權(quán)的人利用網(wǎng)絡(luò)技術(shù)侵入信息系統(tǒng)。職責(zé)分工，相關(guān)人員只能進(jìn)入或修改職責(zé)范圍內(nèi)的信息。程序的修改

16、(Program changes)程序的修改需經(jīng)過授權(quán)，記錄及測(cè)試。系統(tǒng)及應(yīng)用程序的配置應(yīng)及時(shí)升級(jí)。194.2 信息系統(tǒng)的一般性控制的確定（續(xù)）程序的開發(fā) (Program development)新系統(tǒng)及應(yīng)用程序的開發(fā)及應(yīng)用需要經(jīng)過授權(quán)及測(cè)試。計(jì)算機(jī)的操作 (Computer operations)對(duì)系統(tǒng)信息應(yīng)定期備份，并進(jìn)行恢復(fù)性測(cè)試以保證備份信息的可用性。應(yīng)設(shè)置相應(yīng)的應(yīng)急程序，以防系統(tǒng)出現(xiàn)故障。對(duì)系統(tǒng)信息的錄入或操作應(yīng)做到準(zhǔn)確、完整和及時(shí)。204.2 信息系統(tǒng)的一般性控制的確定（續(xù)）終端用戶計(jì)算 (End-user computing)指與財(cái)務(wù)報(bào)告數(shù)據(jù)生成有關(guān)、并對(duì)數(shù)據(jù)按公式進(jìn)行加工處理

17、的Excel、Access、VB等電子表格、小程序等，進(jìn)行有關(guān)授權(quán)制度、公式訪問保護(hù)、測(cè)試、備份、文檔等管理214.3 重要會(huì)計(jì)科目/披露（Significant Accounts/Disclosures)的確定定義：如果某科目或披露事項(xiàng)中出現(xiàn)可能對(duì)財(cái)務(wù)報(bào)表產(chǎn)生重大影響(因少報(bào)或多報(bào))的單個(gè)錯(cuò)報(bào)(或多個(gè)錯(cuò)報(bào)的共同作用)的可能性并非微小，那么這一科目或披露事項(xiàng)就是重要的會(huì)計(jì)科目或披露事項(xiàng)。確定重要科目時(shí)應(yīng)當(dāng)考慮：定性與定量的考慮（見下頁）合并報(bào)表層面的重要性水平（一般為稅前利潤(rùn)3-5%）除個(gè)別會(huì)計(jì)科目（如所得稅）外，內(nèi)控手冊(cè)基本涵蓋了所有重要會(huì)計(jì)科目/披露；內(nèi)控測(cè)試需要補(bǔ)充有關(guān)內(nèi)容內(nèi)控辦需要整理

18、重要會(huì)計(jì)科目/披露與內(nèi)控手冊(cè)的對(duì)應(yīng)關(guān)系224.4 重要/關(guān)鍵控制點(diǎn)(Key Control Points)的確定對(duì)于重要/關(guān)鍵控制點(diǎn)的確定，PCAOB要求至少應(yīng)當(dāng)包括以下方面的控制：與重要科目/披露及財(cái)務(wù)報(bào)告所包含相關(guān)認(rèn)定的啟動(dòng)、審批、記錄、處理或匯報(bào)有關(guān)的控制（注意為從從“啟動(dòng)啟動(dòng)”到到“會(huì)計(jì)記錄會(huì)計(jì)記錄”全過程均屬于與財(cái)務(wù)報(bào)告相關(guān)的重要重要/ /關(guān)鍵控制點(diǎn)范圍關(guān)鍵控制點(diǎn)范圍）；選擇和應(yīng)用符合公認(rèn)會(huì)計(jì)準(zhǔn)則要求的會(huì)計(jì)政策的控制；反舞弊程序和控制；各種控制，包括其他重要控制所依賴的信息技術(shù)的一般性控制；對(duì)非經(jīng)常性和非程序化的交易的控制（例如需要判斷和估計(jì)的科目）；及公司層面的內(nèi)部控制234.5

19、檢查時(shí)間（Inspection Time）的確定管理層在確定測(cè)試時(shí)間時(shí)的考慮：管理層對(duì)內(nèi)控發(fā)表意見的基準(zhǔn)日（2006年12月31日）； 流程的活動(dòng)發(fā)生的時(shí)間； 例如：銷售活動(dòng)每天發(fā)生；年報(bào)及中報(bào)財(cái)務(wù)數(shù)據(jù)的上報(bào)流程就只在年中及年末發(fā)生（因此不能太早開展，另外年底過后需要對(duì)年末才發(fā)生的關(guān)鍵控制點(diǎn)/需要整改的控制點(diǎn)進(jìn)行補(bǔ)充檢查）。流程的活動(dòng)發(fā)生的頻密程度； 例如：銀行付款每天發(fā)生；編制銀行調(diào)節(jié)表則每月/季發(fā)生（因此不能太晚開展，否則對(duì)需要整改的控制點(diǎn)在年底前沒有足夠的樣本量（3個(gè)月）供補(bǔ)充檢查） 。244.6 測(cè)試樣本量(Testing Sample Size)的確定畢馬威進(jìn)行財(cái)務(wù)報(bào)告內(nèi)部控制有效性

20、測(cè)試時(shí)，按照不少于以下標(biāo)準(zhǔn)確定樣本量：管理層實(shí)施財(cái)務(wù)報(bào)告內(nèi)部控制有效性測(cè)試時(shí)，可參照以上標(biāo)準(zhǔn)，但不應(yīng)少于以上標(biāo)準(zhǔn)。對(duì)重要會(huì)計(jì)科目（如銷售、采購(gòu)、費(fèi)用、資本支出、資金）等流程應(yīng)增加樣本量。254.7 自我評(píng)價(jià)記錄（Documentation）的要求管理層評(píng)價(jià)必須保留所有評(píng)價(jià)工作的底稿，其中應(yīng)包括：評(píng)價(jià)計(jì)劃文件（包括范圍制定）設(shè)計(jì)有效性測(cè)試底稿（包括穿行測(cè)試的記錄建議一個(gè)流程至少應(yīng)復(fù)印、存檔一份樣本資料）執(zhí)行有效性測(cè)試底稿：包括測(cè)試地點(diǎn)，測(cè)試時(shí)間，測(cè)試人，復(fù)核人，測(cè)試流程，控制點(diǎn)，測(cè)試方法，測(cè)試結(jié)果，測(cè)試結(jié)論及改善建議等。其中測(cè)試結(jié)果應(yīng)包括：所選樣本，控制的設(shè)計(jì)/執(zhí)行情況；匯總、分析各企業(yè)的內(nèi)控缺

21、陷并形成書面評(píng)價(jià)報(bào)告，及與外部審計(jì)師及審計(jì)委員會(huì)等溝通的文件記錄注：根據(jù)上交所內(nèi)控指引要求，檢查監(jiān)督部門的工作資料，包括內(nèi)部控制檢查監(jiān)督工作報(bào)告、工作底稿及相關(guān)資料，保存時(shí)間不少于十年。264.8 應(yīng)當(dāng)包括在評(píng)估過程中的經(jīng)營(yíng)場(chǎng)所和業(yè)務(wù)單位管理層的自我評(píng)價(jià)范圍應(yīng)當(dāng)包括“大部分”的經(jīng)營(yíng)場(chǎng)所和業(yè)務(wù)單位，其范圍應(yīng)不少于審計(jì)師的內(nèi)控審計(jì)范圍。一般而言，“大部分”的經(jīng)營(yíng)場(chǎng)所和業(yè)務(wù)單位須至少代表該企業(yè)70%的總收入或總資產(chǎn)；據(jù)調(diào)查，美國(guó)本土上市公司的內(nèi)控評(píng)價(jià)范圍占總收入或總資產(chǎn)90%以上。其中，管理層必須對(duì)以下的經(jīng)營(yíng)場(chǎng)所和業(yè)務(wù)單位進(jìn)行自我評(píng)價(jià)：財(cái)務(wù)重大單位（占企業(yè)百分之五以上的總收入或總資產(chǎn)，例如：勝利油田

22、、大型上市子公司、廣東石油公司)應(yīng)覆蓋“大部分大部分”二級(jí)單位存在特殊風(fēng)險(xiǎn)單位（例如：國(guó)際事業(yè)/聯(lián)合石化的石油期貨風(fēng)險(xiǎn)）275.1 中石化存在的潛在財(cái)務(wù)報(bào)告內(nèi)控缺陷基于畢馬威對(duì)中石化的審計(jì)經(jīng)驗(yàn)，結(jié)合美國(guó)上市公司已披露的內(nèi)控缺陷，我們?cè)诖伺e例說明了中石化潛在的公司層面及信息系統(tǒng)層面的潛在財(cái)務(wù)內(nèi)控缺陷，以提請(qǐng)管理層關(guān)注。對(duì)于具體業(yè)務(wù)流程層面的潛在內(nèi)控缺陷，可參考畢馬威過去數(shù)年給管理層的管理建議書，畢馬威將在測(cè)試完成后與管理層做進(jìn)一步溝通。285.2 畢馬威2005年給管理層的管理建議書1.關(guān)于中石化信息系統(tǒng)的幾點(diǎn)問題與建議2.加強(qiáng)對(duì)ERP硬件的管理3.規(guī)范暫估在建工程的會(huì)計(jì)處理4.建立備品備件系統(tǒng)

23、5.重視應(yīng)收款項(xiàng)的帳齡分析6.規(guī)范其他應(yīng)收款中長(zhǎng)期投資款的核算7.規(guī)范應(yīng)付工資的會(huì)計(jì)處理8.盤點(diǎn)時(shí)分開擺放已否驗(yàn)收的存貨并編制詳細(xì)的存貨盤點(diǎn)差異分析表295.2 畢馬威2005年給管理層的管理建議書(續(xù)）9.加強(qiáng)對(duì)已完工在建工程項(xiàng)目轉(zhuǎn)入固定資產(chǎn)科目的管理10.重視往來單位基礎(chǔ)信息的管理11.及時(shí)更新關(guān)聯(lián)方基礎(chǔ)信息及其交易清單12.及時(shí)準(zhǔn)確地進(jìn)行遞延稅款的會(huì)計(jì)核算和所得稅的納稅調(diào)整13.加強(qiáng)財(cái)務(wù)部門與業(yè)務(wù)部門的溝通14.規(guī)范費(fèi)用核算15.規(guī)范轉(zhuǎn)供電損失的會(huì)計(jì)核算16.完善產(chǎn)量統(tǒng)計(jì)體系17.規(guī)范季節(jié)性停工損失的會(huì)計(jì)處理305.2 畢馬威2005年給管理層的管理建議書(續(xù)）18.根據(jù)原油采購(gòu)價(jià)格的變

24、動(dòng)定期修改煉油企業(yè)的標(biāo)準(zhǔn)成本指引19.對(duì)不同原油品種成本結(jié)轉(zhuǎn)的建議20.規(guī)范固定資產(chǎn)使用年限變更后的會(huì)計(jì)處理方法21.規(guī)范損益表科目的帳務(wù)處理22.加強(qiáng)對(duì)待儲(chǔ)存貨的管理以避免“紅字”庫存的發(fā)生23.正確核算長(zhǎng)期待攤費(fèi)用攤銷24.要求銷售企業(yè)嚴(yán)格執(zhí)行以“加權(quán)平均法”作為存貨計(jì)價(jià)方法25.改善臨時(shí)用工管理制度和勞務(wù)費(fèi)結(jié)算制度315.3 美國(guó)上市公司已披露的內(nèi)控缺陷舉例325.4 控制缺陷 定義控制缺陷(Control Deficiency)可能是由于以下方面出現(xiàn)漏洞所致： 設(shè)計(jì)(Design)；或 執(zhí)行(Operation)。 335.4 控制缺陷 定義（續(xù)）顯著缺陷(Significant De

25、ficiency)是指一個(gè)或一組控制缺陷，這個(gè)或這組缺陷會(huì)對(duì)公司按照公認(rèn)會(huì)計(jì)原則可靠地啟動(dòng)、審批、記錄、處理或匯報(bào)外部財(cái)務(wù)數(shù)據(jù)的能力構(gòu)成負(fù)面的影響，從而導(dǎo)致年度或中期財(cái)務(wù)報(bào)告中的并非無關(guān)緊要的錯(cuò)漏(Misstatement that is more than inconsequential) （一般達(dá)稅前利潤(rùn)1%或總收入與總資產(chǎn)孰高0.1%）無法被預(yù)防或偵測(cè)出來的可能性并非十分微小實(shí)質(zhì)性漏洞(Material Weakness)是指一個(gè)或一組嚴(yán)重缺陷，這個(gè)或這組缺陷會(huì)導(dǎo)致年度或中期財(cái)務(wù)報(bào)告中的重大錯(cuò)漏(Material Misstatement)（一般達(dá)稅前利潤(rùn)5%或總收入與總資產(chǎn)孰高0.5%

26、）無法被預(yù)防或偵測(cè)出來的可能性并非十分微小嚴(yán)重顯著缺陷 = 實(shí)質(zhì)性漏洞存在實(shí)質(zhì)性漏洞時(shí)，管理層不得作出內(nèi)部控制有效的聲明345.5 控制缺陷 評(píng)估控制缺陷的框架需要考慮的因素 有沒有存在：互為補(bǔ)足的控制措施 (Complementary Controls) 一組控制措施一起發(fā)揮作用以達(dá)到相同的目標(biāo)多余的控制措施 (Redundant Controls) 達(dá)致相同目標(biāo)的控制措施補(bǔ)充的控制措施 (Compensating Controls) 精密準(zhǔn)確地運(yùn)行的控制措施，可以避免或發(fā)現(xiàn)嚴(yán)重的錯(cuò)報(bào)情況即使存在其他控制措施也不能把缺陷消除，但可減低其嚴(yán)重性如果上述任何控制措施有助減低所發(fā)現(xiàn)缺陷的嚴(yán)重性，那

27、么，該控制措施就必須加以驗(yàn)證，并進(jìn)行測(cè)試 355.5 控制缺陷 評(píng)估控制缺陷的框架（續(xù)）下列領(lǐng)域出現(xiàn)的缺陷至少是財(cái)務(wù)報(bào)告內(nèi)部控制中的顯著缺陷 對(duì)于是否根據(jù)一般公認(rèn)會(huì)計(jì)原則對(duì)會(huì)計(jì)政策進(jìn)行選擇和應(yīng)用的控制點(diǎn)； 反舞弊程序和控制； 對(duì)于非常規(guī)和非系統(tǒng)交易的控制；和 對(duì)于期末財(cái)務(wù)報(bào)告過程的控制，包括對(duì)將交易總數(shù)過入總帳；初始、授權(quán)、記錄和處理總帳中的日記帳分錄；和記錄財(cái)務(wù)報(bào)表中重復(fù)發(fā)生和非重復(fù)發(fā)生的調(diào)整的控制。 365.5 控制缺陷 評(píng)估控制缺陷的框架（續(xù)）以下情況的發(fā)生顯示企業(yè)內(nèi)至少出現(xiàn)了顯著缺陷，甚至是實(shí)質(zhì)性漏洞的明顯征兆：財(cái)務(wù)報(bào)表因?yàn)橐郧澳甓鹊腻e(cuò)誤需要重新列報(bào)；由審計(jì)師而非管理層首先發(fā)現(xiàn)的財(cái)務(wù)報(bào)

28、表錯(cuò)報(bào)；無效的審計(jì)委員會(huì)審閱及監(jiān)控；以前期間已經(jīng)向管理層及審計(jì)委員會(huì)溝通過，但是在合理時(shí)間內(nèi)仍然沒有修正的顯著缺陷；管理層的欺詐及舞弊行為；無效的控制環(huán)境。375.6 控制缺陷 評(píng)估測(cè)試的例外情況 是能夠是不能夠不是不是385.7 控制缺陷 評(píng)估控制缺陷方格 1 潛在的嚴(yán)重性是否對(duì)財(cái)務(wù)報(bào)表而言并不重要？是不是不會(huì)方格 2 有沒有經(jīng)測(cè)試及評(píng)價(jià)的互補(bǔ)或多余控制措施可以達(dá)到相同的控制目標(biāo)呢？方格 3 有沒有經(jīng)測(cè)試及評(píng)價(jià)的補(bǔ)充控制措施可以把財(cái)務(wù)報(bào)表內(nèi)錯(cuò)報(bào)的嚴(yán)重性減至不重要的程度？方格 7 就財(cái)務(wù)報(bào)表而言，審慎的工作人員會(huì)否認(rèn)為這至少 是 一 個(gè) 顯 著 缺 陷( S i g n i f i c a n t Deficiency)？有有缺陷(Deficiency)會(huì)見方格 4 (下頁)第 1 步：確定是否存在顯著缺陷(Significant Deficiency)沒有沒有395.7 控制缺陷 評(píng)估控制缺陷（續(xù)）方格 4 潛在的嚴(yán)重性是否對(duì)財(cái)務(wù)報(bào)表而言低于重大程度？不會(huì)方格 5 有沒有經(jīng)測(cè)試及評(píng)價(jià)的補(bǔ)充控制措施可以把財(cái)務(wù)報(bào)表內(nèi)錯(cuò)報(bào)的嚴(yán)重性減至低于重大程度？方格 6 額外的評(píng)價(jià)工作能否確定財(cái)務(wù)報(bào)表出現(xiàn)重大錯(cuò)報(bào)的可能性不大？方格 7 就財(cái)務(wù)報(bào)表而言，審慎的工作人員會(huì)否認(rèn)為這是一個(gè)實(shí)質(zhì) 性 漏 洞 ( M a t e r i a l Weakness)？顯著缺陷(Sig